عاملهای انسانی در امنیت اطلاعات/تاثیر عوامل انسانی بر احراز هویت از طریق گذرواژه
مقدمه
ویرایشنیاز به امنیت اطلاعات به صورت فزایندهای در حال رشد و گسترش میباشد. اتفاقاتی نظیر حادثه ۱۱ سپتامبر در آمریکا و عملیاتهای تروریستی در نقاط مختلف جهان، سازمانها، ادارات و بخش خصوصی را بر آن داشته است که نگاه ویژهای بر مقوله امنیت اطلاعات داشته باشند.
افزایش فزاینده این روند به گونهایست که در سال ۱۹۸۸، تعداد ۶ حادثه امنیتی در آمریکا ثبت گردیده است و این عدد در سال ۲۰۰۳ به ۱۳۷٬۵۲۹ حادثه افزایش داشته است که طبق برآورد FBI، این میزان در هر سال رشد ۲۵٪ را خواهد داشت.
تمامی سازمانها، ارگانها، شرکتهای خصوصی و حتی افراد، نیاز به تامین امنیت اطلاعات خود در سطوح مختلف میباشند تا از دسترسی غیرمجاز و یا تخریب اطلاعات در هر سطح جلوگیری نمایند.
تحقیقات اخیر نشان از وجود ریسکهایی ناشی از خطاهای انسانی در امنیت سیستمهای اطلاعاتی دارند که در بین آنها، مسائل مربوط به گذرواژه دومین تهدید مهم محسوب میشود. تقریبا امنیت منابع وسیعی به صورت سازمانی، اداری، خصوصی و حتی حریم شخصی افراد، به میزان قابل توجهی به گذرواژه انتخابی آنان مربوط بوده و باید به آن توجه ویژهای معطوف داشت.
تعیین شرایط دشوار و پیچیده در انتخاب گذرواژه، و تبدیل آن به یک الزام برای افراد، گاهی از ظرفیت توان حافظه و طاقت کاربران فراتر بوده، و خود تبدیل به یک ریسک امنیتی میگردد. تحقیقات NIST در آمریکا نشان میدهد که بیش از ۵۰٪ رخدادهای امنیتی در سازمانها و بخش خصوصی به دلیل خطاهای انسانی بوده، که این مساله همجنان از چالشهای اصلی پیش رو در امنیت اطلاعات میباشد.
این مقاله برآن است تا با توجه نیازمندیهای انتخاب گذرواژهای مناسب در جهت ایمنی بیشتر، تاثیرات آنرا بر اساس توانمندی حافظه انسان در رابطه با این نیازمندیها، نظیر پیچیدگی و طول گذرواژه ارزیابی نماید. هدف در این مقاله، توسعه مدلی برای ارزیابی تاثیر عوامل انسانی بر روی مسائلی است که در احراز هویت توسط گذرواژه با آن روبرو هستیم.
امنیت اطلاعات:مفاهیم
ویرایشدر امنیت اطلاعات، تهدیدات امنیتی به سه دسته اصلی تقسیم میشوند.
۱- محرمانگی اطلاعات (Confidentiality)
۲- یکپارچگی اطلاعات (Integrity)
۳- در دسترس بودن اطلاعات (Availability)
- محرمانه بودن اطلاعات بدان اشاره دارد که دسترسی به محتوای اطلاعات، به جز افراد مورد نظر، مقدور نباشد. به عنوان مثال، ارسال اشتباه سندی محرمانه، به گیرندهای که منظور ما نبوده است از این دست محسوب میشود.
- در یکپارچگی اطلاعات، هدف حصول اطمینان از این مورد است که اطلاعات در طول مسیر، و یا در محل ذحیرهسازی دچار تغییر نشدهاند. حال تفاوتی نمیکند که عمدی و یا غیر عمدی. در اینجا، عدم اطلاع از محتوای اطلاعات مد نظر نیست. بلکه میخواهیم مطمئن شویم که اطلاعات به همانگونهای ذخیره سازی شدهاند و یا در شبکه جابجا میشوند که انتظار میرود. یعنی بدون تغییر.
- در دسترس پذیری دادهها، به ایم موضوع پرداخته میشود که سیستم و اطلاعات در هر زمان برای دسترسیهای مجاز، سرویسدهی نماید. گاهی افراد مجوز دسترسی به سیستم را دارند، اما مثلا به دلیل فراموش کردن گذرواژه خویش، از دسترسی به سیستم محدودند. در اینجا مساله Availibility مطرح است که کاربر مجاز است و نمیتواند از سیستم استفاده کند.
جالب است که بدانیم نوعی حملات شبکهای با نام Denial of Service، همین ویژهگی از امنیت یعنی Availibility را نشانه رفته است و مانع از سرویسدهی به موقع به کاربران میشود.
حال تاثیر عاملهای انسانی در هریک از موارد فوق، میتواند بر روی امنیت تاثیر منفی گذاشته و آنرا به مخاطره بیاندازد.
از این رو، دسته بندی فوق را به ۵ بخش توسعه داده، و پاسخگویی و طرح و نقشه برای هر یک، در راستای استقرار امنیت در سازمانها و شرکتها ضروری میباشد. این ۵ بخش شامل موارد ذیل است:
۱- کنترل دسترسی
۲- یکپارچگی سیستم
۳- رمزنگاری
۴- نظارت و گزارش گیری
۵- پایش و بررسی پیکربندیها
خطاهای انسانی در امنیت اطلاعات
ویرایشKaplan در تحقیقی نشان داد که بیش از ۷۰٪ رخدادهای امنیتی در شرکتها به دلیل خطاهایی بوده که نیروی انسانی به صورت مستقیم و یا غیر مستقیم باعث آن بودهاند. در مطالعه دیگری از Wood و Banks، آنها نشان دادند که عامل اصلی بیش از ۵۲٪ حوادث و رخدادهای امنیتی که منجر به از بین رفتن اطلاعات گردیدهاست، نیروی انسانی بوده است.
در تحقیق دیگری Lewis و Crumpton نشان دادند که خطاهای انسانی ۶۵٪ از رخدادهای امنیتی را رقم زده که منجر به خسارات مالی شدهاست و تنها ۳٪ از این موارد، مربوط به حملات خارجی و نفوذگران شبکه بودهاست.
مطالعات اخیر نشان میدهد که رخدادهای مرتبط با خطاهای انسانی معمولا از این دسته بودهاند:
- خطا در پیکربندی
- ملاحظات گذرواژه
- دسترسی نابجا به اطلاعات
- خطا در ورود اطلاعات
- عدم پیروی از دستورالعملهای موجود
- استفاده از نرمافزارهایی که از امنیت کافی برخورداد نیستند
- فشارهای کاری
- بیتفاوتی و بیتوجهی نیروی انسانی
- عدم بروزرسانی دستگاهها و نرمافزارهای مورد استفاده
که میتواند منجر به عدم یکپارچگی اطلاعات،دسترسی غیرصحیح، دسترسی به اطلاعات غیر صحیح و یا محرمانه، عدم ارائه سرویس به موقع، خسارات مالی و اقتصادی، و حتی در برخی موارد خطرات جانی در بر دارد.
در اینجا پرسشی مطرح میشود که دلیل بروز اینگونه تهدیدات در سیستمهای اطلاعاتی چیست؟
تحقیقات نشان میدهد که عواملی همچون:
- نبود آموشهای کافی برای کاربران
- عدم شناخت و درک مناسب از تاثیر تهدیدات مرتبط با فناوری اطلاعات بر روی سازکار سازمانی
- فشارهای کاری و زمانی و استرس ناشی از آن
- عدم احساس مسولیت در نیروی انسانی (نظیر غیرفعال نمودن ویروسیاب بدلیل کندی سیستم و رفتاری از این دست)
- اشتراک منابع مختلف سازمان با سایر کاربران و در بعضی موارد، خارج از سازمان
- و عدم کنترل به موقع و صحیح بر فرایندهای امنیتی، اطلاعاتی
از موارد عمدهای است که در این تحقیقات مشخص شدهاست.
از راههایی که برای مقابله با این خطرات، در پیش روست و میتوان از آنها بهره جست، میتوان به موارد ذیل اشاره نمود:
- آموزش مداوم کاربران متناسب با وظایف آنها
- خودکارسازی فرآیندهای سیستمی به طوریکه وابستگی آن به عوامل انسانی کاهش یابد
- ایجاد روحیه مسولیت پذیری در کاربران
- افزایش سطوح مختلف دسترسی بین کاربران (به این معنی که با انعطاف بیشتری بتوان دسترسیها را به اطلاعات تفکیک نمود)
- تعریف سیاستهای شفاف و قابل اجرای امنیتی در سازمان
حافظه کوتاه مدت
ویرایشدر سال ۱۹۵۶ محققی به نام Miller نشان داد که حافظه کوتاه مدت انسان میتواند توالی ۲±۷ قسمت از عبارتی را بخاطر بسپارد. این قسمتها، میتواند حرف، رقم و یا یک تاریخ باشد.
عبارتهای طولانیتر را میتوان به بخشهای مستقل تقسیم و آنها را به خاطر سپرد.
این تحقیقات در رابطه با حافظه آدمی نشان میدهد که وجود ترکیب حروف و عدد در هر بخش دشوارتر از حالتی خواهد بود که بخشها شامل حروف و یا عدد به صورت جداگانه باشند.
در تعیین سیاستهای مربوط به انتخاب گذرواژه، این نکته حائز اهمیت است که نباید گذرواژه از این ۲±۷ بخش فراتر رود.
متدلوژی
ویرایشدر این تحقیق به این صورت عمل شده است که به صورت تحقیق میدانی
- از کاربران خواسته میشود که گذرواژهای برای خود بر گزینند
- نقاط ضعف گذرواژههای برگزیده مورد مطالعه و بررسی قرار گرفته است
این تحقیق به صورت محدود در یک سازمان دولتی مورد بررسی قرار گرفتهاست که در آن
- اثر بخشی استفاده از دستگاههای کمک به حافظه (mnemonic devices) در تعیین گذرواژههای معنادار توسط کاربران مورد بررسی قرار گرفتهاست
- تاثیر عوامل انسانی بر روی احراز هویت از طریق گذرواژه و موانع و مشکلات پیش رو کاوش گردیدهاست
پرسشنامه
ویرایشدر این بخش پرسشنامهای بین 250نفر افراد دانشگاهی و کارمند توزیع شده که به سه بخش تقسیم شده است:
- گذرواژههای کاری/دانشگاهی
- گذرواژههای شخصی افراد
- رابطه میان جنسیت، سن، و سطح تحصیلات با گذرواژههای انتخابی
نتیجه حاصل از پرسشنامهها
ویرایشنتایج حاصل از این تحقیق نشان میدهد که افرادی که بین ۸ تا ۱۱ گذرواژه را در محیط تحصیلی و یا کاری باید به خاطر بسپارند، در معرض بیشترین ریسک فراموشی گذرواژه حداقل یکبار در ماه قراردارند. شکل ۱
بنابراین این افراد معمولا اقدام به نوشتن گذرواژه خود بر روی کاعذ نموده تا هنگام لزوم به آن مراجعه نمایند. شکل ۲
در شکل ۳ ساختار شکست نتایج بر اساس پیچیدگی گذرواژههای انتخابی مشخص شده است
نام انگلیسی مقاله
ویرایشEvaluation of the Human Impact of Password Authentication Practices on Information Security
جستارهای وابسته
ویرایشمنابع
ویرایشپیوند به مقاله: دریافت منبع ۸۸۲۳۱۶۶۴